1 WebSphere DataPower SOA Appliances 简介

　　IBM WebSphere DataPower SOA Appliances(以下简称 DataPower)是IBM 针对面向服务架构(SOA)所推出的又一重要产品。

　　随着越来越多的企业采用 SOA 提高业务的灵活性，它们发现 XML 和 Web 服务——这些当前 SOA 的基础——带来了性能瓶颈、安全风险以及营运、架构和基础设施方面复杂的工作。DataPower 正是针对这些业界的实际需求应运而生。DataPower 是设计独特，易于部署的 SOA 专用设备(1U，可机架式安装)，它面向XML-Aware Network，通过以太网与外部系统进行连接，通过简单的配置(无需编写程序)即可无缝地连接到现有的 IT 基础架构中，为简化 XML 应用和 Web 服务部署、提高系统性能和增强 SOA 实施的安全性等都提供了强大的支持。

　　DataPower提供的主要功能包括：

• 　　帮助确保 Web 服务的安全——包括 XML 安全保护功能、XML 加密、数字签名、WS 安全、XML 访问控制、联合身份管理。
• 　　面向SOA，支持大型机和旧式应用程序——异构消息之间的转换、协议桥接。
• 　　网络集线器式的仲裁服务和轻便的消息代理服务——快速的、可扩展的消息转换、路由以及日志服务。
• 　　Web 服务管理——服务级管理、内部安全、WSDM。
• 　　“线速(wire speed)”地加速动态门户—— XML 向 HTML 转换。

　　DataPower产品家族主要包括如下三款产品：WebSphere DataPower XA35，WebSphere DataPower XS40和WebSphere DataPower XI50。它们的功能分别侧重于XML任务处理加速、XML/Web服务安全和企业消息总线及应用程序集成，详细的产品介绍请参考IBM中国网站的DataPower主页。

　　目前，DataPower已经服务于IBM全球众多的关键客户，在SOA的架构中扮演着越来越重要的角色，下面，本文将着重介绍如何基于DataPower构建Web服务的安全网关。

　　2 基于 DataPower 的 Web 服务安全网关

　　作为安全网关，应具备满足如下安全需求的能力：

• 　　确保访问的合法性：访问者身份的认证与授权的能力;
• 　　确保数据的机密性：传输数据的加密与解密的能力;
• 　　确保数据的完整性：基于数字签名技术的数据签名及验证的能力。

　　对于Web服务的安全网关，需要针对Web服务安全需求的特点，有效地支持Web 服务安全性(WS-Security)规范中定义的满足以上三个需求的安全机制：安全性令牌传播机制、消息完整性机制和消息机密性机制。具体来讲，主要包括支持SOAP安全性元素并实现通过其内容进行访问合法性的检验，实现SOAP消息数字签名及校验，实现SOAP消息的加密与解密等。